프레데터 스파이웨어 운영자가 모바일 디바이스를 타깃으로 다계층 인프라를 재구축합니다.
Recorded Future의 Insikt Group은 Cytrox가 개발하고 현재 Intellexa Alliance에서 관리하는 용병 모바일 스파이웨어인 Predator 운영자와 관련된 새로운 인프라에 대해 새로운 연구를 실시했습니다. 이 인프라는 앙골라, 아르메니아, 보츠와나, 이집트, 인도네시아, 카자흐스탄, 몽골, 오만, 필리핀, 사우디아라비아, 트리니다드토바고 등 최소 11개국에서 사용 중인 것으로 알려져 있습니다. 특히 보츠와나와 필리핀의 고객이 공개적으로 확인된 것은 이번이 처음입니다. Predator는 대테러 및 법 집행용으로 판매되었지만 언론인, 정치인, 활동가를 표적으로 삼아 시민 사회를 공격하는 데 자주 사용되었습니다. 최근 활동에서는 구체적인 피해자나 표적이 확인되지 않았습니다.
다계층 프레데터 전송 네트워크 아키텍처(출처: Recorded Future)
위험 이해 및 보안 모범 사례 구현하기
Predator와 같은 스파이웨어 사용은 개인 정보, 적법성, 물리적 안전에 중대한 위험을 초래합니다. 특히 심각한 범죄와 대테러 상황을 벗어나 사용하는 경우 더욱 그렇습니다. 대부분의 남용 사례가 시민 사회를 대상으로 하는 한, 스파이웨어 남용으로 알려진 지역의 다른 조직과 개인은 업종이나 지역과 관계없이 이러한 위험을 인식해야 합니다. 높은 배포 비용과 감염당 비용을 고려할 때, 상당한 정보 가치를 보유할 것으로 예상되는 경영진을 비롯한 고위급 인사가 표적이 될 가능성이 높습니다. 유럽연합은 최근 회원국들 간에 용병 스파이웨어 남용을 막기 위한 조치를 취했습니다.
새로운 기업과 제품이 등장하면서 용병 스파이웨어 시장이 성장함에 따라, 이러한 도구 또는 유사한 기능에 액세스할 수 있는 모든 대상으로 표적 위험이 확대되고 있습니다. 지속적인 수익성, 경쟁 심화, IT 보안 강화를 통한 혁신으로 인해 클라우드 백업, 더욱 전문화된 스파이웨어 에코시스템, 광범위한 제품 포트폴리오와 같은 새로운 표적과 공장 초기화 후의 지속성과 같은 더욱 은밀한 감염 방식이 등장할 가능성이 높습니다. 따라서 효과적인 완화 전략에는 에코시스템에 대한 면밀한 모니터링, 철저한 위험 평가, 정책 입안자의 강력한 규제가 포함되어야 합니다.
완화 전략
이러한 위험을 완화하기 위해 조직과 개인은 정기적인 휴대폰 업데이트, 디바이스 재부팅, 잠금 모드, 모바일 디바이스 관리 시스템, 개인 디바이스와 회사 디바이스 분리 등의 보안 모범 사례를 따르는 것이 좋습니다. 보안 인식 교육과 데이터 노출을 최소화하는 문화도 중요합니다. 장기적인 해결책으로는 동적 보안 정책 개발을 위한 위험 평가를 실시하는 것이 있습니다. 용병 스파이웨어 시장이 확대됨에 따라 그 위험은 시민 사회를 넘어 이러한 도구에 액세스할 수 있는 모든 이해관계자에게까지 확대되고 있습니다. 이 분야의 혁신은 더욱 은밀하고 포괄적인 스파이웨어 기능으로 이어질 가능성이 높습니다.
Insikt Group의 연구에서는 주요 결과 중 하나로 새로운 다계층 Predator 제공 인프라를 발견했으며, 이는 최소 11개국에서 Predator가 계속 사용될 가능성이 있음을 나타냅니다. 이 결론은 Recorded Future Network Intelligence의 도메인 분석 및 인사이트에 의해 뒷받침됩니다. 2023년 9월 공개 후 Predator 운영자들은 최소한의 변경으로 운영을 유지해 왔습니다. Predator는 NSO Group의 Pegasus와 함께 시간이 지나도 일관된 전략, 기술 및 절차를 통해 용병 스파이웨어 제공업체의 선두 주자 역할을 하고 있습니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
참고: 이 보고서 요약은 2024년 3월 1일에 처음 발행되었으며 2024년 10월 30일에 업데이트되었습니다. 초기 분석 및 결과는 변경되지 않았습니다.
타협 지표
| 도메인: 02s[.]co 06g[.]co 09a[.]co 2-gis[.]kz astanapark[.]com beroxe[.]com buildneeds[.]net bw-guardian[.]com cabinet-salyk[.]kz centent-management[.]net clazc[.]com coazoa[.]com copy-note[.]net 기업 비즈니스 솔루션[.]net dzhabarzan[.]com e-kgd[.]kz ehudaldaa[.]com escortbabesluxo[.]com 이벤트 뉴스[.]라이브 fast-notify[.]com fastnews[.]biz fr-monde[.]com gabzmus[.]com get-location[.]com get-location[.]net highclub[.]life 정보 순위[.]net jumia-egy[.]com kapital-news[.]com 케조라뉴스[.]넷 kollesa[.]com krisha-kz[.]com kroal[.]com ladiesclubhouse[.]com 루소포니아-문도[.]닷컴 magnum-kz[.]com 마스터샵[.]비즈 mb-ph[.]net mmegi[.]co msbsck[.]com mujmbosnoticias[.]com 문도노티시아[.]온라인 myfawry[.]net nospam[.]kz notify-service[.]biz nur-news[.]com olimpbets[.]kz ongsworld[.]com pelovkin[.]com people-beeline[.]com peticaonline[.]comv 플라스틱 장난감 세계[.]com plinkypong[.]com post-notify[.]정보 qazsporttv[.]com rcuples[.]com 로자베트로프[.]닷컴 schedulefestival[.]com shoxtek[.]com soccer-bw[.]com 스페이스세이버[.]정보 스포츠나우[.]뉴스 suarapapua[.]co sustanbuild[.]com thintank[.]co tickets-kz[.]com tobupmi[.]com tohna[.]net ulstur[.]co vendaswebs[.]com vestinfo[.]net vestinfo[.]org vestinfos[.]net vinho-online[.]com vlast-news[.]com walatparez[.]com 주말쿨[.]com yo-um7[.]com zakorn[.]com zikolo[.]net ztb-news[.]com IP 주소: 2.58.15[.]58 5.39.221[.]36 5.39.221[.]47 5.39.221[.]48 5.255.88[.]172 23.137.248[.]95 37.120.222[.]115 45.129.0[.]125 45.148.244[.]5 45.86.163[.]77 45.86.163[.]93 46.246.97[.]245 46.249.49[.]230 46.30.190[.]98 79.110.52[.]179 79.110.52[.]196 79.137.199[.]216 79.141.175[.]146 84.247.51[.]14 84.247.51[.]18 85.17.9[.]21 85.17.9[.]73 85.17.9[.]74 85.239.34[.]174 87.121.45[.]29 87.121.45[.]42 87.121.45[.]45 88.119.161[.]135 91.241.93[.]165 95.141.34[.]222 98.142.254[.]112 101.99.75[.]197 141.94.122[.]19 146.70.158[.]144 146.70.161[.]50 158.58.172[.]3 164.215.103[.]143 164.215.103[.]20 169.239.128[.]137 169.239.129[.]48 169.239.129[.]63 169.239.129[.]76 169.255.59[.]98 176.124.198[.]52 176.124.198[.]55 185.113.8[.]67 185.113.8[.]83 185.117.91[.]165 185.117.91[.]237 185.130.227[.]29 185.130.227[.]88 185.130.227[.]95 185.130.45[.]34 185.130.46[.]165 185.130.46[.]202 185.156.172[.]17 185.156.172[.]20 185.156.172[.]48 185.158.248[.]131 185.158.248[.]85 185.196.9[.]76 185.212.47[.]75 185.219.220[.]99 185.219.221[.]30 185.62.58[.]107 185.66.140[.]112 192.46.237[.]163 193.168.143[.]111 193.168.143[.]116 193.168.143[.]184 193.168.143[.]185 193.233.161[.]137 193.233.161[.]163 193.29.104[.]13 193.29.104[.]5 193.29.104[.]83 193.29.59[.]171 193.42.36[.]106 193.42.36[.]84 212.237.217[.]127 213.252.246[.]152 |
프레데터 전송 서버
| 도메인 | IP 주소 | 처음 발견 | 마지막으로 발견 |
| 06g[.]co | 185.130.227[.]29 | 2023-12-22 | 2024-02-21 |
| 02s[.]co | 185.130.227[.]95 | 2023-12-22 | 2024-02-21 |
| 스페이스세이버[.]정보 | 45.148.244[.]5 | 2023-11-30 | 2024-02-20 |
| 09a[.]co | 5.39.221[.]36 | 2023-12-22 | 2024-02-21 |
| ongsworld[.]com | 146.70.158[.]144 | 2023-11-16 | 2024-02-21 |
| fr-monde[.]com | 169.239.129[.]76 | 2023-12-15 | 2024-02-20 |
| 루소포니아-문도[.]닷컴 | 169.239.129[.]63 | 2023-12-15 | 2024-02-17 |
| ladiesclubhouse[.]com | 169.239.129[.]48 | 2023-12-15 | 2024-02-18 |
| vinho-online[.]com | 169.239.128[.]137 | 2023-12-15 | 2024-02-17 |
| vendaswebs[.]com | 185.158.248[.]131 | 2023-11-16 | 2024-02-17 |
| 문도노티시아[.]온라인 | 185.196.9[.]76 | 2023-11-16 | 2024-02-17 |
| mujmbosnoticias[.]com | 185.212.47[.]75 | 2023-11-02 | 2024-02-21 |
| soccer-bw[.]com | 185.130.46[.]165 | 2023-11-22 | 2024-02-17 |
| mmegi[.]co | 45.129.0[.]125 | 2023-11-22 | 2024-02-16 |
| bw-guardian[.]com | 95.141.34[.]222 | 2023-11-19 | 2024-02-17 |
| yo-um7[.]com | 185.130.46[.]202 | 2023-11-29 | 2024-02-17 |
| sustanbuild[.]com | 193.29.104[.]5 | 2023-11-25 | 2024-02-17 |
| myfawry[.]net | 2.58.15[.]58 | 2023-12-14 | 2024-02-20 |
| jumia-egy[.]com | 79.110.52[.]196 | 2023-12-14 | 2024-02-17 |
| suarapapua[.]co | 158.58.172[.]3 | 2023-12-01 | 2024-01-29 |
| 케조라뉴스[.]넷 | 185.158.248[.]85 | 2023-12-07 | 2024-02-15 |
| nospam[.]kz | 176.124.198[.]52 | 2023-12-28 | 2024-02-13 |
| olimpbets[.]kz | 176.124.198[.]55 | 2023-12-28 | 2024-02-13 |
| vlast-news[.]com | 185.156.172[.]20 | 2023-12-08 | 2024-02-16 |
| ztb-news[.]com | 185.156.172[.]17 | 2023-12-08 | 2024-02-17 |
| cabinet-salyk[.]kz | 185.156.172[.]48 | 2023-12-15 | 2024-02-21 |
| zikolo[.]net | 193.168.143[.]116 | 2023-11-11 | 2024-02-14 |
| magnum-kz[.]com | 45.86.163[.]93 | 2023-12-08 | 2024-02-20 |
| tickets-kz[.]com | 45.86.163[.]77 | 2023-12-10 | 2024-02-17 |
| people-beeline[.]com | 5.39.221[.]47 | 2023-12-14 | 2024-02-17 |
| 로자베트로프[.]닷컴 | 5.39.221[.]48 | 2023-12-14 | 2024-02-17 |
| 2-gis[.]kz | 79.137.199[.]216 | 2023-12-28 | 2024-02-20 |
| e-kgd[.]kz | 85.17.9[.]21 | 2023-12-15 | 2024-02-17 |
| kapital-news[.]com | 85.17.9[.]73 | 2023-12-14 | 2024-02-19 |
| nur-news[.]com | 85.17.9[.]74 | 2023-12-14 | 2024-02-21 |
| astanapark[.]com | 87.121.45[.]42 | 2023-12-11 | 2024-02-16 |
| krisha-kz[.]com | 88.119.161[.]135 | 2023-11-26 | 2024-02-17 |
| ehudaldaa[.]com | 84.247.51[.]14 | 2023-12-23 | 2024-02-20 |
| ulstur[.]co | 84.247.51[.]18 | 2023-12-25 | 2024-02-20 |
| mb-ph[.]net | 193.42.36[.]106 | 2023-12-07 | 2024-02-21 |
| buildneeds[.]net | 141.94.122[.]19 | 2023-11-21 | 2024-02-17 |
| 스포츠나우[.]뉴스 | 185.113.8[.]67 | 2023-11-11 | 2024-02-19 |
| 기업 비즈니스 솔루션[.]net | 193.168.143[.]184 | 2023-11-25 | 2024-02-09 |
| 정보 순위[.]net | 193.168.143[.]185 | 2023-11-25 | 2024-02-17 |
| centent-management[.]net | 193.29.59[.]171 | 2023-11-21 | 2024-02-09 |
| highclub[.]life | 46.249.49[.]230 | 2023-11-11 | 2024-02-21 |
| vestinfos[.]net | 185.130.45[.]34 | 2023-12-22 | 2024-02-09 |
| get-location[.]net | 46.246.97[.]245 | 2023-12-21 | 2024-02-08 |
| vestinfo[.]org | 79.141.175[.]146 | 2023-12-22 | 2023-12-22 |
| 이벤트 뉴스[.]라이브 | 185.219.221[.]30 | 2023-12-04 | 2024-02-08 |
| get-location[.]com | 192.46.237[.]163 | 2023-12-04 | 2024-02-20 |
| vestinfo[.]net | 87.121.45[.]29 | 2023-12-04 | 2024-02-17 |
| thintank[.]co | 5.255.88[.]172 | 2023-10-25 | 2024-01-20 |
| fastnews[.]biz | 101.99.75[.]197 | 2023-11-17 | 2024-02-18 |
| plinkypong[.]com | 146.70.161[.]50 | 2023-11-29 | 2024-02-17 |
| peticaonline[.]com | 164.215.103[.]143 | 2023-11-27 | 2024-02-17 |
| escortbabesluxo[.]com | 164.215.103[.]20 | 2023-11-03 | 2024-02-13 |
| coazoa[.]com | 169.255.59[.]98 | 2023-11-01 | 2024-02-19 |
| 주말쿨[.]com | 185.113.8[.]83 | 2023-11-18 | 2024-02-14 |
| qazsporttv[.]com | 185.117.91[.]237 | 2023-12-14 | 2024-02-17 |
| pelovkin[.]com | 185.117.91[.]165 | 2023-11-29 | 2024-02-14 |
| 플라스틱 장난감 세계[.]com | 185.130.227[.]88 | 2023-11-28 | 2024-02-17 |
| tohna[.]net | 185.219.220[.]99 | 2023-11-02 | 2024-02-10 |
| notify-service[.]biz | 185.62.58[.]107 | 2023-11-16 | 2024-02-01 |
| copy-note[.]net | 185.66.140[.]112 | 2023-11-29 | 2024-01-31 |
| zakorn[.]com | 193.168.143[.]111 | 2023-11-10 | 2024-02-17 |
| walatparez[.]com | 193.233.161[.]137 | 2023-12-09 | 2024-02-17 |
| tobupmi[.]com | 193.233.161[.]163 | 2023-11-14 | 2024-02-16 |
| gabzmus[.]com | 193.29.104[.]13 | 2023-11-14 | 2024-02-17 |
| msbsck[.]com | 193.29.104[.]83 | 2023-11-16 | 2024-02-17 |
| 마스터샵[.]비즈 | 193.42.36[.]84 | 2023-11-17 | 2024-02-11 |
| kollesa[.]com | 212.237.217[.]127 | 2023-11-10 | 2024-02-17 |
| schedulefestival[.]com | 213.252.246[.]152 | 2023-11-16 | 2024-02-18 |
| post-notify[.]정보 | 23.137.248[.]95 | 2023-11-17 | 2024-02-17 |
| dzhabarzan[.]com | 37.120.222[.]115 | 2023-12-08 | 2024-02-21 |
| shoxtek[.]com | 46.30.190[.]98 | 2023-11-23 | 2024-02-12 |
| fast-notify[.]com | 79.110.52[.]179 | 2023-12-09 | 2024-02-19 |
| clazc[.]com | 85.239.34[.]174 | 2023-11-24 | 2024-02-17 |
| beroxe[.]com | 87.121.45[.]45 | 2023-12-09 | 2024-02-21 |
| kroal[.]com | 91.241.93[.]165 | 2023-12-08 | 2024-02-19 |
| rcuples[.]com | 98.142.254[.]112 | 2023-11-28 | 2024-02-02 |
MITRE ATT&CK TTPs
| 전술: 기법 | ATT&CK 코드 |
| 자원 개발: 인프라 확보 도메인 | T1583.001 |
| 자원 개발: 인프라 확보: 가상 사설 서버 | T1583.003 |
| 자원 개발: 인프라 획득: 서버 | T1583.004 |
| 초기 액세스: 스피어피싱 링크 | T1566.002 |
| 실행: 클라이언트 실행을 위한 익스플로잇 | T1203 |
관련